As tecnologias operacionais e os desafios de cibersegurança

Reforçar a segurança e a resiliência das tecnologias operacionais, ou OT, é uma necessidade para qualquer organização que conte com o OT na sua operação. Se é verdade que os sistemas de controlo industriais e SCADA não eram tradicionalmente conectados à Internet e, como tal, não suscetíveis a ciberataques, hoje estes sistemas começam a ficar vulneráveis a ciberameaças que podem colocar em causa a sua continuidade.

Uma falha de segurança do OT pode ter graves consequências; não só o downtime de uma produção, mas também, em determinados casos, levar a que milhões de pessoas não tenham acesso a serviços básicos, como eletricidade.

A evolução da segurança do OT

Vesku Turtia, Diretor Regional da Armis para a Ibéria, refere que “à medida que as tecnologias digitais e de informação foram ganhando terreno e penetrando nas organizações”, os ativos da tecnologia operacional tornaram-se cada vez mais vulneráveis. “O facto de os dados serem agora geridos através do IT e da cloud para que possam ser analisados em termos de eficiência e resiliência significa que os sistemas OT mais antigos, anteriormente isolados – alguns deles com décadas – podem agora ser ligados aos sistemas TI que gerem os dados OT”.

	“O facto de os dados serem agora geridos através do IT e da cloud para que possam ser analisados em termos de eficiência e resiliência significa que os sistemas OT mais antigos, anteriormente isolados – alguns deles com décadas – podem agora ser ligados aos sistemas TI que gerem os dados OT” Vesku Turtia, Armis Ibéria

No entanto, indica Turtia, “as empresas, conscientes deste cenário, planeiam cada vez mais as suas estratégias de cibersegurança para evitar deixar lacunas que poderiam permitir o acesso ou controlo não autorizado, mas os desafios de proteger os seus ativos de OT permanecem. É, portanto, essencial ter uma solução que permita a visibilidade dos ativos OT usando uma abordagem sem agentes, capaz de controlar este ambiente sem ter de parar a produção, capaz de detetar malware, identificar comportamentos ou dispositivos suspeitos que já não são necessários, e mitigar as consequências”.

Valter Cunha, Solution Specialist Security & Compliance & Risk - Public Sector na Microsoft Portugal, afirma que “a segurança do OT tem evoluído de forma a acompanhar os desafios que os ambientes industriais enfrentam na era da transformação digital. As organizações estão cada vez mais conscientes da necessidade de proteger os seus sistemas OT e sistemas de controlo industrial (ICS) contra ciberataques que podem comprometer a sua eficiência, resiliência e segurança. Como resposta, têm investido em soluções de segurança avançadas e automatizadas que permitam monitorizar o tráfego de rede, detetar ameaças e gerir padrões de identidade e de acesso”.

Contudo, “a segurança do OT enfrenta vários desafios, como a crescente conectividade dos sistemas OT à cloud e às redes empresariais, o que aumenta a superfície de ataque e expõe novos pontos de entrada para os cibercriminosos. Além disso, muitos sistemas OT são antigos ou mal configurados, o que dificulta a sua atualização e manutenção. Por outro lado, nos últimos dois anos, os fornecedores de dispositivos industriais têm revelado um aumento significativo (78%) das vulnerabilidades e exposições comuns, o que implica uma maior necessidade de proteção dos ambientes conectados”, diz Valter Cunha.

Paulo Pinto, Business Development Manager da Fortinet Portugal, indica que os ataques contra a tecnologia operacional continuam a evoluir, “sendo que, atualmente, são particularmente impulsionados pela convergência de redes OT e de tecnologia de informação, bem como pelo fácil acesso às estratégias de ataque disponíveis na dark web com o crescimento do Cybercrime-as-a-Service”, até porque, “nos últimos anos, a diversidade de targets que representam o OT e as infraestruturas críticas têm aumentado, com uma série de ataques a atingir estes sistemas, que obtiveram acesso através de redes domésticas comprometidas e dispositivos de colaboradores a trabalhar em formato remoto/híbrido”.

“A segurança do OT está a melhorar gradualmente, mas ainda existem lacunas de segurança em muitas organizações. O relatório ‘State of Operational Technology and Cybersecurity’ de 2022 da Fortinet relata que a grande maioria das organizações usa entre dois e oito fornecedores de segurança diferentes para proteger os seus dispositivos industriais e tem entre cem e dez mil dispositivos em operação. Esta complexidade desafia por completo qualquer equipa de segurança que utiliza várias ferramentas de segurança. Ao mesmo tempo, também cria uma lacuna na sua defesa que se torna num convite para que as ameaças passem”, explica Paulo Pinto.

Diminuir o risco

Relembrando que “os sistemas de OT são responsáveis por monitorizar e controlar processos físicos, dispositivos e infraestruturas que suportam quase todas as operações da sociedade, em dezenas de indústrias”, Valter Cunha refere que se assiste “a um aumento nas vulnerabilidades de segurança em vários dispositivos, que abrem espaço aos cibercriminosos para executar código arbitrário, obter acesso privilegiado ou causar negação de serviço nos dispositivos afetados. Com a convergência entre as redes OT e TI – o que aumenta naturalmente o risco e superfície dos ataques –, a segurança dos sistemas de OT torna-se crítica para prevenir interrupções, danos ou perdas nos equipamentos e nas operações críticas. Contudo, muitos sistemas de OT usam protocolos e software desatualizados que não foram concebidos para serem conectados à Internet ou protegidos contra” ciberameaças.

Paulo Pinto indica que “embora, historicamente, os cibercriminosos estejam particularmente interessados em roubar dados, estão cada vez mais focados em redes OT, na medida em que reconhecem o potencial das perturbações devido à segurança inadequada da OT” e que “estão a desenvolver ataques mais sofisticados e destrutivos, dirigidos especificamente a empresas de OT”. Assim, as organizações que gerem estas redes “estão conscientes do perigo, com os próprios profissionais de segurança OT a assumirem, num inquérito recente do Instituto SANS, que o risco está em níveis críticos”.

Vesku Turtia diz que “os dispositivos tradicionais OT e IoT não têm uma proteção forte incorporada, não produzem registos e não suportam a instalação de agentes de segurança. Por outras palavras, não são geridos. A falta de visibilidade destes dispositivos é precisamente um dos desafios da segurança da Indústria 4.0. Por sua vez, a cibersegurança tradicional depende de agentes instalados em endpoints, o que beneficia a monitorização e proteção de dispositivos geridos, tais como desktops, mas não funciona para dispositivos OT e IoT. Além disso, as ferramentas de monitorização do tráfego de rede carecem de uma compreensão contextual de como os dispositivos não geridos são utilizados”.

IT e OT

Convergir o IT com o OT é uma necessidade das organizações que gerem esta tecnologia. Como diz Paulo Pinto, “a inovação digital requer sistemas OT para interagir com sistemas IT”.

O representante da Fortinet refere que “componentes de redes OT – como sistemas de controlo, SCADA e redes industriais – estão a ser ligados a componentes de redes IT, tais como processadores, armazenamento e gestão de sistemas. Com esta convergência entre o IT e a OT, os dados recolhidos por equipamentos físicos e dispositivos IIoT podem ser utilizados para analisar e gerir ambientes industriais em tempo real, mitigar ameaças ou aumentar a eficiência”. Outro exemplo, indica, “é que a interação com o cliente e a informação de casos de serviços tipicamente encontrados numa aplicação CRM, quando alinhados com a experiência do cliente, podem então ser utilizados para fazer melhorias na cadeia de abastecimento, operações e desenvolvimento de produtos”.

No entanto, “ligar uma rede OT à Internet através de uma rede IT expõe imediatamente a rede OT e todos os dispositivos OT às mesmas ameaças de cibersegurança com que as IT lidam há décadas. A OT não é geralmente segura, uma vez que foi originalmente concebida com a suposição de que não seria exposta a ameaças. Além disso, o aumento do acesso remoto às redes OT por fornecedores terceiros expande ainda mais a superfície de ataque e cria vulnerabilidades”, acrescenta Paulo Pinto.

Para Vesku Turtia, a convergência entre o IT e o OT “está no centro desta nova era industrial”. Esta é “uma mudança de paradigma em que dois silos organizacionais separados – IT e operações – se juntam e abrem o caminho para a IIoT”.

Nas palavras do representante da Armis, “esta integração permite, por exemplo, que máquinas numa fábrica de sistemas de irrigação possam trocar dados com outros dispositivos e sistemas através da Internet, com eficiências operacionais muito elevadas. Contudo, os riscos de cibersegurança também são elevados, pelo que a abordagem à segurança deve ser proativa no que diz respeito à sensibilização, gestão e mitigação dos riscos. Uma integração TI/OT bem-sucedida requer: investimento na visibilidade abrangente dos ativos, ter uma estratégia definida para a Indústria 4.0, criar uma equipa multidisciplinar para promover a colaboração e criar consciência, e garantir o investimento”.

“As organizações estão cada vez mais conscientes da necessidade de proteger os seus sistemas OT e sistemas de controlo industrial (ICS) contra ciberataques que podem comprometer a sua eficiência, resiliência e segurança” Valter Cunha, Microsoft Portugal

Valter Cunha afirma que “para proteger eficazmente a convergência entre IT e OT, as organizações devem adotar uma abordagem holística que envolva, entre outras prioridades, uma compreensão das implicações para o negócio, incluindo os processos, as pessoas e a tecnologia; uma análise dos dados obtidos dos sistemas de acordo com o nível de sensibilidade, criticidade e conformidade; uma definição das políticas de acesso baseadas em zero trust, nomeadamente na verificação de identidade e contexto dos pedidos de acesso aos dados, correio eletrónico, dispositivos e aplicações; e a atualização constante dos sistemas para corrigir vulnerabilidades, acompanhar mudanças tecnológicas e atender às necessidades do mercado”. 

Melhores práticas

Para Vesku Turtia, as melhores práticas na proteção das tecnologias operacionais começam com “a escolha de uma framework de segurança OT que corresponda às necessidades da organização. A implementação dessa framework requer uma imagem completa da rede, através da descoberta e inventário dos ativos OT/TI, bem como o mapeamento das melhores práticas e medidas de cibersegurança. A avaliação inicial é fundamental para determinar quais as áreas a priorizar. Finalmente, é necessário tomar medidas adequadas para colmatar as lacunas de segurança nas redes informáticas e de OT”. No entanto, menciona, “qualquer investimento em tecnologia deve visar uma segurança completa e abrangente, com total visibilidade dos ativos em toda a superfície de ataque das empresas. Isto é, contínuo, proporcionando a necessária consciência em tempo real das ligações e comportamentos dos ativos; inteligente, para uma melhor priorização das vulnerabilidades e incidentes; e automatizado, permitindo uma resposta mais rápida a ameaças e eventos operacionais”.

Paulo Pinto, da Fortinet, refere que é necessário empregar soluções que oferecem visibilidade centralizada de todas as atividades OT, uma “visibilidade focada e end-to-end das atividades industriais é fundamental para as organizações que exigem uma segurança estanque”. Simultaneamente, é preciso consolidar fornecedores e soluções de segurança “para eliminar a complexidade e obter visibilidade centralizada dos dispositivos, as organizações devem integrar a sua tecnologia OT e IT e fazer parcerias com menos fornecedores”. Por último, deve ser implementada tecnologia de controlo de acesso à rede, já que “as organizações que conseguiram evitar invasões nos últimos 12 meses tinham uma maior probabilidade de contar com um NAC”.

Valter Cunha indica que “algumas das melhores práticas incluem medidas proativas contra potenciais riscos de segurança, como a implementação de uma política ágil de patching, que permita corrigir vulnerabilidades e lacunas nos sistemas antes que sejam exploradas por atacantes. Além disso, é essencial avaliar de forma regular os sistemas e realizar atualizações sempre que necessário. Outra medida importante é utilizar uma solução de deteção e resposta de rede IoT/OT-aware e de orquestração e resposta de segurança de informação e eventos de segurança ou orquestração e resposta de segurança que permita integrar os dados da NDR com outras fontes de informação, como logs, telemetria ou inteligência de ameaças. A criação de redes segmentadas é outra prática relevante, pois irá limitar a capacidade de um atacante de se mover lateralmente e comprometer os dados após a intrusão inicial. Adicionalmente, deve utilizar-se firewalls próprias para isolar os dispositivos IoT/OT das redes IT corporativas”.

Portugal e o OT

	“A segurança do OT está a melhorar gradualmente, mas ainda existem lacunas de segurança em muitas organizações” Paulo Pinto, Fortinet Portugal

Sobre as empresas nacionais, Paulo Pinto indica que o tema já é abordado internamente, em particular pelas organizações que possuem infraestruturas críticas, e as que têm consciência da “dimensão dos impactos financeiros e da disrupção de operações causados por incidentes recentes”. No entanto, ressalva, “para algumas organizações a implementação de medidas de cibersegurança para os seus sistemas de OT é vista apenas pelo lado dos custos. Importa, pois, realçar que, enquanto existem custos iniciais associados, o custo de um incidente de cibersegurança pode ser muito superior e que com a adoção de medidas de cibersegurança adequadas é possível reduzir o impacto de um incidente de segurança minimizando riscos operacionais e assegurar a missão que os sistemas de OT suportam no dia-a-dia da nossa sociedade”.

Valter Cunha explica que “as organizações portuguesas têm demonstrado uma crescente preocupação e consciencialização sobre a importância de proteger as suas tecnologias operacionais, essenciais para o funcionamento e a competitividade dos setores industriais”.

Por fim, Vesku Turtia, da Armis, reforça que “as ameaças contra sistemas de infraestruturas críticas (CIS) e tecnologia operacional (OT) estão a crescer em alcance e sofisticação. Não se trata de uma questão de geolocalização, mas, sim, de uma questão global”.